[发明专利]可信DNS解析设备和方法有效
| 申请号: | 201880097360.4 | 申请日: | 2018-09-12 |
| 公开(公告)号: | CN112655186B | 公开(公告)日: | 2021-10-22 |
| 发明(设计)人: | 阿维盖尔·奥兰;丹·图伊图;伊塔玛·菲克 | 申请(专利权)人: | 华为技术有限公司 |
| 主分类号: | H04L29/12 | 分类号: | H04L29/12;G06F21/00;H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 518129 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 可信 dns 解析 设备 方法 | ||
1.一种用于安全解析域名的设备,其特征在于,包括:
解析器单元,用于:
将从存根解析器接收到的查询解析为多个域名服务器DNS记录,其中,所述多个DNS记录包括使用域名系统安全扩展DNSSEC技术进行签名的DNS记录;
向认证器单元提供验证所述经DNSSEC签名的DNS记录所需的所述多个DNS记录和DNS验证数据;
所述认证器单元,用于:
在可信执行环境TEE中运行;
使用所述DNS验证数据重新验证所述经DNSSEC签名的记录;
通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
2.根据权利要求1所述的设备,其特征在于,
所述认证器单元还用于:
根据DNSSEC规范,使用包括DNS记录类型的所述DNS验证数据重新验证所述经DNSSEC签名的记录,从而重新验证DNSSEC信任链。
3.根据权利要求1所述的设备,其特征在于,
所述认证器单元还用于:
通过使用确保整个服务器解析链上的DNS记录均有效的信任锚,来重新验证所述经DNSSEC签名的记录,其中,所述信任锚包括沿所述服务器解析链遇到的多个域名服务器中的一个域名服务器的证书。
4.根据权利要求1所述的设备,其特征在于,
所述认证器单元还用于:
将所述经验证的DNS记录标记为经DNSSEC验证的;
将所述标记的DNS记录发送到所述存根解析器。
5.根据权利要求4所述的设备,其特征在于,
所述认证器单元还用于:
根据所述DNSSEC规范,使用认证数据位将所述经验证的DNS记录标记为经DNSSEC验证的。
6.根据权利要求1所述的设备,其特征在于,
通往所述存根解析器的所述认证通信信道包括DNSCrypt和/或安全套接字层SSL技术。
7.根据权利要求1至6任一项所述的设备,其特征在于,
所述TEE基于由软件防护扩展SGX技术提供的指令代码。
8.一种用于安全解析域名的设备,其特征在于,用于:
在可信执行环境TEE中运行;
将从存根解析器接收到的查询解析为多个域名服务器DNS记录,其中,所述多个DNS记录包括使用域名系统安全扩展DNSSEC技术进行签名的DNS记录;
验证所述经DNSSEC签名的记录;
通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
9.一种用于安全解析域名的方法,其特征在于,包括以下步骤:
解析器单元将从存根解析器接收到的查询解析为多个域名服务器DNS记录,其中,所述多个DNS记录包括使用域名系统安全扩展DNSSEC技术进行签名的DNS记录;
所述解析器单元向认证器单元提供验证所述经DNSSEC签名的DNS记录所需的所述多个DNS记录和DNS验证数据;
所述认证器单元使用所述DNS验证数据重新验证所述经DNSSEC签名的记录;
所述认证器单元通过认证通信信道将所述多个DNS记录发送到所述存根解析器,其中
所述认证器单元在可信执行环境中运行。
10.一种用于安全解析域名的方法,其特征在于,包括以下步骤:
设备在可信执行环境TEE中运行;
所述设备将从存根解析器接收到的查询解析为多个域名服务器DNS记录,其中,所述多个DNS记录包括使用域名系统安全扩展DNSSEC技术进行签名的DNS记录;
所述设备验证所述经DNSSEC签名的记录;
所述设备通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华为技术有限公司,未经华为技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201880097360.4/1.html,转载请声明来源钻瓜专利网。
